3 razones porque los empleados no siguen las reglas de seguridad

Encontré un artículo muy interesante que quiero compartir con los lectores de mi blog, habla sobre las politícas de seguridad que implementamos en el área de TI. si bien en cierto que de su implementación depende en gran medida la estabilidad de nuestros sistemas, sobre todo en cuestión de seguridad, aunque la mayoria de los usuarios no lo ven así, si no como un mal que solo les entorpece su trabajo y los hace sufrir, comparto con ustedes el artículo.

Un estudio reciente encontró que los empleados continúan ignorando las políticas de seguridad. (sorpresa, sorpresa). He aquí un recordatorio de que lo que a menudo falta en las organizaciones tientan a los trabajadores a caminar por el lado equivocado de la ley de seguridad.

De acuerdo con un estudio de la firma de seguridad RSA, la mayoría de los trabajadores consultados dijo que siente que necesita eludir las políticas corporativas de seguridad para poder realizar su trabajo.

El estudio señala que mientras muchas compañías están preocupadas por las amenazas maliciosas internas, el peligro real residen el la vasta cantidad de aparentemente inocentes rompe-reglas que hay diariamente por parte de empleados bien intencionados.

Le preguntamos a Frank Kenney, un analista de Gartner dedicado al desarrollo de aplicaciones e integración, algunos pensamientos sobre las principales razones de porque la gente no adhiere a las políticas corporativas de seguridad, y que necesitan para integrarse con las reglas.

No conocen las reglas

El estudio de RSA halló que la mayoría de los encuestados decía estar familiarizado con las políticas de seguridad de su organización. Pero las políticas no siempre son blanco sobre negro, según Kenney. Muchas compañías podrían estar enviando mensajes contradictorios a los empleados.

“Si trabajo para una compañía en la cual no se puede usar Gmail, pero tengo acceso a Gmail, la compañía no me está dando una mejor forma de enviar grandes archivos, y no han bloqueado Gmail, voy a usar Gmail,” dice Kenney.

El punto de Kenney es que si una corporación va a insistir que los empleados no usen ciertas aplicaciones o visiten ciertos sitios Web, necesitan hacer algo más que ponerlo en el manual de la compañía. Lo encargados de seguridad necesitan asegurarse que los empleados estén al tanto poniendo los puntos en claro en cuanto los contratan, y también enviando material para refrescar los temas. También, poner las herramientas necesarias en su lugar de modo que no haya violaciones, remarca Kenney. Si uno no quiere empleados usando Gmail, tómese la molestia de bloquear el sitio.

Si conocen las reglas, nadie las está haciendo cumplir

Incluso si las reglas están establecidas, y sabe que todo el mundo las conoce, ¿que impedirá que los empleados las transgredan si no hay repercusión de esas acciones?

“Si uno se pasa una luz roja, sabe que hay posibilidades que la policía lo detenga,” dice Kenney. “Pero con todas las reglas de seguridad, los empleados saben que nunca serán reprendidos por ir contra la política de la compañía.”

RSA dijo que los consultados en el estudio admitieron que acceden al correo del trabajo desde computadoras de acceso publico. Una mayoría también dijo que ha accedido a cuentas de correo del trabajo a través de redes publicas inalámbricas. Ambas tácticas ponen en riesgo información corporativa sensible. ¿Pero saben sus empleados lo saben?. Y ¿porqué deberían preocuparse si nunca los atrapan? Kenney sugiere educar al personal sobre las implicancias de sus acciones. Y dar un paso más respaldando las políticas tanto con incentivos como con castigos.

“La educación puede funcionar cuando es reforzada con incentivos para hacer las cosas bien. E incluso el castigo por hacer mal las cosas puede ser efectivo.”

Algunas ideas para motivar a la gente a seguir las reglas incluyen ofrecer a cualquiera boletos para eventos grupales – o un almuerzo gratis – por cierta cantidad de días sin infracciones. Y a la inversa, si alguien del personal continua ignorando las reglas, “es momento de sentar a esa persona y decirle: voy a tener que reprenderte,” dijo Kenney.

Reglas que obstaculizan la productividad

La gente ha estado trabajando con reglas de seguridad desde los albores de las TI para poder hacer su trabajo, dijo Kenney. Ejemplo de los comienzos incluían imprimir documentos sensibles que TI había bloqueado para no descargar o enviar por correo electrónico.

“Uno puede bloquear laptops e impedir que la gente ponga memorias flash para grabarse cosas. Pero ¿sabe lo que van a hacer? Van a imprimir eso y hacer lo que necesiten para ser productivos.”

El personal suele ver a TI y la política de seguridad como un estorbo para su productividad. Y en muchas formas es así, dijo Kenney. En su opinión el comportamiento más riesgoso en que se involucran los empleados últimamente es en el uso ya mencionado de servicios Web gratuitos tales como Yahoo, Hotmail o Gmail para enviar documentos de la compañía.

Un informe reciente de Aberdeen encontró que hay demanda de productos de transferencia de archivos administrados/asegurados en varias industrias debido a la necesidad de compartir con seguridad grandes archivos.

“Cuando los empleados usan correo electrónico Web como un atajo, las compañías no saben que tipo de propiedad intelectual va a terminar en la nube. Necesitan herramientas para poder transferir archivos sin peligro.”

Traducido para blog de Segu-info por Raúl Batista

Autor: Joan Goodchild

No comments yet

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: